グローバル進出に求められる“攻め”のセキュリティ対策：世界で勝つ 強い日本企業のつくり方（1/2 ページ）

日本企業のセキュリティ対策は進んでいると言われるが、足元を固めるための“守り”の対策という意味合いが強い。グローバル展開する企業には、より前向きな取り組みが求められるという。これから必要とされるセキュリティ対策を探る。

[百瀬崇，ITmedia]

望まれる内部管理者へのセキュリティ対策

NRIセキュアテクノロジーズ 取締役コンサルティング事業本部長サイバーセキュリティラボ主幹 菅谷光啓氏

　「セキュリティ対策には、“前向き”なセキュリティと“後ろ向き”のセキュリティがある」――NRIセキュアテクノロジーズ 取締役コンサルティング事業本部長サイバーセキュリティラボ主幹の菅谷光啓氏はこのように話す。

　例えば情報を漏えいしてしまい、その対策を取るというのは後ろ向きのセキュリティになる。前向きなセキュリティとは、事業をサポートするためのインフラであるという。「前向きなセキュリティによって、ようやく海外に出て行ける強い日本企業になる」と菅谷氏は指摘する。

　過去、日本企業は足元固めのセキュリティ対策に苦労してきた。その努力から、ISMS（情報セキュリティマネジメントシステム）の認証を受ける企業は3000社を越え、諸外国に比べても多い状況となっている。

　NRIセキュアテクノロジーズは、2002年から毎年、「企業における情報セキュリティ実態調査」を実施。2009年版によると、「日本企業の足固めのセキュリティ対策が十分に行われていることが分かる」（菅谷氏）という。

　情報セキュリティマネジメントに関する対策として、「パスワードルールなどの情報セキュリティの基本事項の徹底」「個人情報保護法への対応」「業務上重要な事項に対する情報セキュリティ対策の実施」といった項目で、7〜8割の企業が「できている」と答えているからだ（図1）。

図1 情報セキュリティマネジメントに関する対策（NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査 2009」より作成）

　2009年の特徴には事業継続の意識が高くなっていることが挙げられる。「事業継続計画の策定」「事業継続計画に沿った具体的な対策の実施」を行っているという企業が増えているからだ。

　さらに、「トップダウンでのアプローチが表れるようになった」と菅谷氏は指摘する。組織・体制面での対策として、「情報セキュリティ担当部署の設置／明確化」「最高情報セキュリティ責任者(CISO)の任命」を行う企業が増加しているのだ（図2）。

図2 組織・体制面での対策（同）

　こうした対策が取られている一方で、2009年4月には大手証券会社で148万人に及ぶ顧客情報が漏えいする事件があった。顧客情報データへのアクセス権限を持つ当時の従業員が不正に持ち出した。

　「一般社員が顧客情報を持ち出せない対策を実施していても、顧客情報の管理者が漏えいさせてしまう事件は起こる可能性がある。日本企業の内部管理者へのセキュリティ対策は遅れていると言える」（菅谷氏）

　それを表す調査結果もある。NRIセキュアテクノロジーズの調査では、管理者による不正行為の防止対策の実施状況について尋ねており、ほぼすべてのシステムで「管理者がその気になれば不正行為を行うことができ、それを検出することもできない」と答えたのが16.9％、「多くのシステムで該当する」と答えたのが31.7％あり、合計で5割近くの企業が管理者にすべてをゆだねている状況なのだ（図3）。

図3 「管理者がその気になれば不正行為を行うことができ、それを検出することもできない」システム（同）

　個人情報の漏えいによって、企業は金銭面で被害を受けるだけでなく、企業価値が著しく下がることもある。「社外からの攻撃への対策導入は終わりつつある。これからは、社内の管理者をどう統制すればいいかということが問題になる」（菅谷氏）